Avis du CERT-FR

Objet: Vulnérabilité dans ProFTPD

Gestion du document

Référence	CERTA-2009-AVI-456
Titre	Vulnérabilité dans ProFTPD
Date de la première version	26 octobre 2009
Date de la dernière version	26 octobre 2009
Source(s)	Rapport de bogue ProFTPD #3275
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

ProFTPD versions antérieures à 1.3.2b.

Résumé

Une vulnérabilité dans ProFTPD permet à une personne malintentionnée de contourner la politique de sécurité.

Description

Une vulnérabilité dans le traitement de certificats SSL par le module mod_tls de ProFTPD permet à une personne malintentionnée de contourner la politique de sécurité. Ceci peut être exploité par un client pour falsifier un certificat SSL en incluant un caractère NULL dans le champ subjectAltName du certificat.

Solution

La version 1.3.2b de ProFTPD corrige le problème.

Documentation

Rapport de bogue ProFTPD #3275

http://bugs.proftpd.org/show_bug.cgi?id=3275

Référence CVE CVE-2009-3639 :

https://www.cve.org/CVERecord?id=CVE-2009-3639

Gestion détaillée du document

le 26 octobre 2009: version initiale.